7.1 Skip to content

7. Grobkonzept Vermittlungsstellen (VS)

Redaktioneller Hinweis

Dokument der aktuellen Iteration.

7.1 Abstract

Die Vermittlungsstelle ist gem. § 7 Abs. 2 Identifikationsnummerngesetz (IDNrG) (RGR-01) eine dritte öffentliche Stelle, die bei verwaltungsbereichsübergreifenden Nachweisabrufen unter Nutzung der Identifikationsnummer (IDNr) eingeschaltet werden muss. Eine Einschaltung auch beim bereichsinternen Nachweisabruf gem. § 12 Abs. 2 IDNrG ist durch Beschluss möglich. In diesen Fällen führt sie eine abstrakte (das bedeutet ohne Wissen über den Nachrichteninhalt und insbesondere die antragstellende Person) Berechtigungsprüfung durch, um sicherzustellen, dass nachweisabrufende Stelle und nachweisliefernde Stelle zu einem angegebenen Zweck miteinander kommunizieren dürfen. Ziel der Einrichtung der Vermittlungsstelle ist, das Risiko zu verringern, dass personenbezogene Daten einer Bürgerin oder eines Bürgers zu einem Persönlichkeitsprofil zusammengeführt werden. Sie stellt somit einen wichtigen Baustein für den Datenschutz dar. Die Vermittlungsstelle muss ihre Aufgabe ohne Kenntnis der Nachrichteninhalte erbringen. So ist sichergestellt, dass die Vermittlungsstelle selbst nicht zu einer Gefahrenquelle für den Datenschutz wird.

Aufgrund der fehlenden Einsicht in den Nachrichteninhalt ist die Mitwirkung der Kommunikationspartner notwendig, damit die Vermittlungsstelle ihre Aufgabe zuverlässig erfüllen kann. Es muss der Data Consumer wahrheitsgemäße Angaben für die abstrakte Berechtigungsprüfung (d.h. über Kommunikationspartner, Kommunikationszweck und Angabe, ob die IDNr verwendet wird) machen und entsprechend dem Ergebnis der abstrakten Berechtigungsprüfung handeln, also bei negativer abstrakter Berechtigungsprüfung die Nachricht nicht versenden. Der Data Provider muss die gemachten Angaben mit dem tatsächlichen Nachrichteninhalt abgleichen (also das Ergebnis der abstrakten Berechtigungsprüfung bestätigen) und die Nachricht abweisen, falls der Data Consumer falsche Angaben gemacht hat oder die Nachricht ohne Prüfung der Vermittlungsstelle versendet hat. Der folgend beschriebene Tokenansatz zielt darauf ab, die Mitwirkung der beiden Kommunikationsteilnehmern entsprechend dem Zero-Trust-Prinzip ("niemals vertrauen, immer verifizieren") überprüfbar zu machen und sicherzustellen.

Die Anforderungen an die Vermittlungsstelle werden durch eine Token-Architektur abgebildet, die die Mitwirkungvon Data Consumer und Data Provider erheblich vereinfacht. Der Data Consumer fordert vor dem Nachweisabruf eine Abrufberechtigung von der Vermittlungsstelle an. Er übermittelt dabei die für die Berechtigungsprüfung notwendigen Daten an die Vermittlungsstelle (Kommunikationspartner, Kommunikationszweck und ob die IDNr verwendet wird). Nach positivem Ergebnis der abstrakten Berechtigungsprüfung stellt die Vermittlungsstelle ein Abruftoken aus, das diesen Nachweisabruf autorisiert. In dem Abruftoken hinterlegt die Vermittlungsstelle die Datengrundlage der durchgeführten Prüfung. Liegt das Abruftoken vor, versendet der Data Consumer daraufhin den Nachweis-Request gemeinsam mit dem Abruftoken an den Data Provider. Dieser kann mittels des Abruftokens nachvollziehen, ob der Nachweisabruf von der Vermittlungsstelle autorisiert wurde, indem er die Informationen im Abruftoken mit dem tatsächlichen Nachweis-Request abgleicht. Außerdem kann der Data Provider anhand des Zertifikats der Vermittlungsstelle prüfen, dass das Abruftoken echt ist und nicht verändert wurde (Vertrauensstellung der Vermittlungsstelle). Um die Komplexität für Data Consumer und Data Provider zu reduzieren, erfolgt eine Einschaltung der Vermittlungsstelle bei allen Nachweisabrufen über das NOOTS. Ist keine abstrakte Berechtigungsprüfung notwendig, stellt die Vermittlungsstelle pauschal ein Abruftoken aus und signalisiert so, dass sie die Nicht-Notwendigkeit der abstrakten Berechtigungsprüfung festgestellt hat. So benötigen Data Consumer und Data Provider kein Wissen darüber, wann eine abstrakte Berechtigungsprüfung notwendig ist.

Eine weitere Ebene der Sicherheit wird durch die Integration der Vermittlungsstelle in die Transportinfrastruktur erreicht. Die Transportinfrastruktur des NOOTS sieht den verpflichtenden Einsatz von "Sicheren Anschlussknoten" vor. Das sind NOOTS-Komponenten, die zentral bereitgestellt, aber dezentral durch die Data Consumer und Data Provider betrieben werden. Sie stellen die Endpunkte der NOOTS-Transportinfrastruktur dar und ermöglichen eine einfache und sichere Anbindung an das NOOTS. Da sie im Verantwortungsbereich von Data Consumer bzw. Data Provider betrieben werden, dürfen sie Zugriff auf die unverschlüsselte Nachricht haben. So können sie sicherheitsrelevante Funktionen, wie die Verschlüsselung der Nachricht, übernehmen. Insbesondere ist es ihnen möglich, die für die abstrakte Berechtigungsprüfung relevanten Daten aus demNachweis-Requestzu ermitteln unddie notwendige Mitwirkung bei der Durchführung der abstrakten Berechtigungsprüfung zu gewährleisten. Dies ermöglicht die Verlagerung der Anforderung des Abruftokens vom Data Consumer zu seinem Sicheren Anschlussknoten und die Verlagerung der Prüfung des Abruftokens vom Data Provider zu dessen Sicheren Anschlussknoten. Damit kann auf Seite des Data Consumers sichergestellt werden, dass die abstrakte Berechtigungsprüfung auf Basis der korrekten Angaben durchgeführt wird und dass kein Versand bei negativer Prüfung erfolgt. Auf Seite des Data Providers erfolgt eine weitere Sicherungsmaßnahme (entsprechend dem Zero-Trust-Prinzip) in Form der Prüfung des Abruftokens durch den Sicheren Anschlussknoten (auf Echtheit sowie gegen den Nachrichteninhalt) vor Weitergabe des Requests an den Data Provider. Durch die Verankerung der Vermittlungsstelle in den Sicheren Anschlussknoten und die Notwendigkeit des Abruftokens der Vermittlungsstelle für den Transport wird die Vermittlungsstelle so zu einem integralen Bestandteil der Transportinfrastruktur des NOOTS.

Abb. 1: Überblick Vermittlungsstelle

Die Token-Architektur in Verbindung mit der Verankerung der Vermittlungsstelle über die Sicheren Anschlussknoten ermöglicht Zuverlässigkeit der Vermittlungsstelle hinsichtlich der Durchsetzung ihres Ziels sowie eine Lösung, die gleichzeitig einfach umsetzbar für anschließende Stellen ist und die Zukunftsfähigkeit des NOOTS durch Entkopplung fördert.

7.2 Einführung und Ziele

7.2.1 Überblick

Mit der Einführung der Identifikationsnummer (IDNr) nach dem Identifikationsnummerngesetz (IDNrG) wird ein übergreifendes Ordnungsmerkmal für die öffentliche Verwaltung geschaffen, das die verlässliche Identifikation von Bürgerinnen und Bürgern in deutschen Registern ermöglichen soll, damit Daten ausdiesen Quellen eindeutig ermittelt und in der Verwaltung zuverlässig verwendetwerden können. Dabei muss sichergestellt werden, dass die unzulässige Zusammenführung von Personendaten und die Bildung von Persönlichkeitsprofilen verhindert wird. Aus diesem Grund schreibt § 7 Abs. 2IDNrG als Sicherungsmaßnahme vor, dass Datenübermittlungen unter Nutzung der Identifikationsnummer zwischen öffentlichen Stellen verschiedener Verwaltungsbereiche durch die Vermittlungsstelle geprüft werden müssen. Gem. § 12 Abs. 4 IDNrG ist eine Ausweitung des Verfahrens durch Beschluss möglich, sodass eine abstrakte Berechtigungsprüfung auch innerhalb von einzelnen Verwaltungsbereichen durchgeführt wird.

7.2.2 Ziele der Vermittlungsstelle

Die Vermittlungsstelle soll als dritte öffentliche Stelle unberechtigte Nachweisabrufe zwischen Data Consumer und Data Provider verhindern. Sie ist damit ein zentraler Baustein in der Kontrolle des Nachweisabrufs über das NOOTS.

Im Rahmen der abstrakten Berechtigungsprüfung prüft die Vermittlungsstelle, ob Data Consumer und Data Provider zu einem anzugebenden Zweck kommunizieren dürfen. Liegt die abstrakte Berechtigung nicht vor, d.h. besteht für die Datenübermittlung zwischen den Kommunikationspartnern zu einem gegebenen Zweck keine Rechtsgrundlage, dürfen keine personenbezogenen Daten übermitteltwerden.Dadurch soll der Gefahr begegnet werden, dass dasNOOTS als technisches System missbraucht werden kann, um umfassende Persönlichkeitsprofile der Bürgerinnen und Bürger zu erstellen (vgl. Begründung von § 7 Abs. 2 IDNrG, S. 73) (VS-GE).

Durch die abstrakte Berechtigungsprüfung sollen unzulässige Anfragen verhindert werden, die vor allem den Zweck der Profilbildung verfolgen könnten, denen also ggf. auch eine zielgerichtete Absicht zugrunde zu legen ist. Denkbar sind hier verschiedene Szenarien:

  • Ein missbräuchlich agierender Data Consumer kann versuchen, Daten zu Personen abzurufen, um diese zu sammeln oder daraus Persönlichkeitsprofile zu erstellen.
  • Ein kompromittierter Data Consumer kann ebenso genutzt werden, um Datensammlung oder Profilbildung zu betreiben.

Die Ziele der Vermittlungsstelle sind:

  1. Kontrolle des Nachweisabrufs mittels Durchführung der abstrakten Berechtigungsprüfung bei verwaltungsbereichsübergreifendem Nachweisabruf unter Verwendung der IDNr zur Verhinderung unzulässiger Nachweisabrufe und insbesondere zur Verringerung des Risikos der Bildung von Persönlichkeitsprofilen,
  2. Nachvollziebarkeit der Durchführung der abstrakten Berechtigungsprüfung durch Protokollierung.

7.2.3 Begriffsdefinitionen

Begriffsdefinitionen finden sich im Glossar. Im Folgenden sind Begriffe erläutert, die für das vorliegende Konzept besondere Relevanz haben.

Tab. 1: Begriffsdefinitionen

Begriff Bedeutung

Vermittlungsstelle

Die Vermittlungsstelle nach § 7 Abs. 2 IDNrG ist eine dritte öffentliche Stelle, die beim bereichsübergreifenden Nachweisabruf unter Verwendung der IDNr die abstrakte Berechtigungsprüfung durchführt und so die Zulässigkeit von Datenübermittlung zwischen Data Consumer und Data Provider sicherstellt. Vorrangiges Ziel der Vermittlungsstelle ist, das Risiko der unzulässigen Zusammenführung von personenbezogenen Daten zur Bildung von Persönlichkeitsprofilen zu verringern.

Abstrakte Berechtigungsprüfung

Gem. § 7 Abs. 2 IDNrG führt die Vermittlungsstelle bei der bereichsübergreifenden Datenübermittlung unter Verwendung der IDNr eine abstrakte Berechtigungsprüfung durch und prüft, ob die beteiligten Kommunikationspartner zu einem anzugebenden Zweck miteinander kommunizieren dürfen. Abstrakt bedeutet, dass die Prüfung ohne Wissen über den Nachrichteninhalt und insbesondere die antragstellende Person erfolgt.

IDNr (Identifikationsnummer)

Die Identifikationsnummer nach § 139 b Abgabenordnung (AO) wird nach IDNrG als zusätzliches Ordnungsmerkmal in allen von der Registermodernisierung betroffenen Register eingeführt, mit dem primären Zweck, die Daten einer natürlichen Person in einem Verwaltungsverfahren eindeutig zuordnen zu können.

Verwaltungsbereich (kurz: Bereich)

§ 7 Abs. 2 IDNrG sieht die Unterteilung der Gesamhtheit der Verwaltung in einzelne Verwaltungsbereiche (kurz: Bereiche) vor. Diese Bereiche sind so abzugrenzen, dass die verschiedenen Lebensbereiche einer Person unterschiedlichen Bereichen zugeordnet werden können (z.B. Inneres, Justiz, Wirtschaft und Finanzen, Arbeit und Soziales, Gesundheit, Statistik). Für eine hinreichende Differenzierung soll es mindestens sechs Verwaltungsbereiche geben. Zahl und Abgrenzung der Bereiche ist gem. § 12 Abs. 1 IDNrG durch Rechtsverordnung der Bundesregierung festzulegen.

Kommunikationszweck

Der Kommunikationszweck ist ein Prüfkriterium im Rahmen der abstrakten Berechtigungsprüfung. Wesentlich für den Kommunikationszweck sind Art und Umfang der zu übertragenden Daten. Der Kommunikationszweck wird abgebildet durch den Nachweistyp.Falls notwendig wird er durch die Angabe der dem Abruf zugrundeliegenden Rechtsnorm ergänzt.

Abstrakte Berechtigung

Eine abstrakte Berechtigung stellt die generelle Erlaubnis dar, dass zwei Kommunikationspartner zu einem bestimmten Kommunikationszweck miteinander kommunizieren dürfen, d.h. ob ein Data Consumer berechtigt ist, von einem Data Provider bestimmte Daten zu einem bestimmten Zweck abzurufen.

Data Consumer

Ein Data Consumer ist eine IT-Komponente, die als nachweisabrufendes System am NOOTS teilnimmt. Er ist durch seine Komponenten-ID eindeutig identifizierbar (diese stammt aus dem IAM für Behörden).

Data Provider

Ein Data Provider ist eine IT-Komponente, die als nachweislieferndes System am NOOTS teilnimmt. Er ist durch seine Komponenten-ID eindeutig identifizierbar (diese stammt aus dem IAM für Behörden).

Verzeichnis / Verzeichnisdienst (für Berechtigungen)

Für die Durchführung der abstrakten Berechtigungsprüfung benötigt die Vermittlungsstelle Zugriff auf ein Verzeichnis, in dem die abstrakten Berechtigungen hinterlegt sind. Dieses Verzeichnis kann sie selbst führen oder sie kann dazu auf einen Verzeichnisdienst zurückgreifen, aus dem sie die abstrakten Berechtigungen bezieht.

Aktuell wird evaluiert, inwieweit das Fachdatenkonzept (bzw. der Nachweiskatalog) in Betracht kommt,den Verzeichnisdienst und damit die Quelle für die abstrakten Berechtigungen bereitzustellen (vgl. OP-VS-561).

Fachdatenkonzept

Das Fachdatenkonzept liefert eine Semantik zum Nachweisdatenaustausch zwischen Data Consumern und Data Providern. Insbesondere stellt es das Bindeglied zwischen den Datenangeboten der Data Provider und den Datenbedarfen der Data Consumer dar. Dazu legt es eine Struktur der Daten zu Nachweisen (Nachweiskatalog) sowie ein Vorgehen zu deren Pflege fest.

IAM für Behörden

Das IAM für Behörden (Identity- und Access Managements für Behörden) ist eine zentrale IT-Komponente des NOOTS, die Identitätsinformationen und berechtigungsrelevante Daten zu anderen IT-Komponenten des NOOTS (insbes. zu Data Consumern und Data Providern) verwaltet und in Form des (IAM-)Zugriffstokens bereitstellt.

Token

Ein Token ist ein Datensatz, also eine Sammlung von Informationen, der durch den Herausgeber des Tokens gesiegelt wird und dessen Echtheit so für Dritte überprüfbar ist. Somit können mittels eines Tokens Daten zuverlässig übertragen und eine Manipulation ausgeschlossen werden.

Im NOOTS kommen zwei Tokens zum Einsatz: das Zugriffstoken des IAM für Behörden und das Abruftoken der Vermittlungsstelle.

  • (IAM-) Zugriffstoken: Vor jedem Nachweisabruf muss sich der Data Consumer beim IAM für Behörden am NOOTS anmelden. Daraufhin erhält er vom IAM für Behörden ein Zugriffstoken, das es ihm ermöglicht, auf NOOTS-Ressourcen zuzugreifen. Im Zugriffstoken ist u.a. die Komponenten-ID des Data Consumers, sein Verwaltungsbereich und seine Behördenfunktion hinterlegt.
  • (VS-) Abruftoken: Vor dem Abruf des Nachweises beim Data Provider ist das Einholen der Abrufberechtigung (ggf. verbunden mit der Durchführung der abstrakten Berechtigungsprüfung) notwendig. Dazu sendet der Sichere Anschlussknoten des Data Consumers die notwendigen Angaben an die Vermittlungsstelle. Bei positivem Ergebnis stellt die Vermittlungsstelle das Abruftoken als Nachweis der Berechtigung für den Nachweisabruf aus. Es berechtigt den Data Consumer zu diesem Nachweisabruf.

Hash

Ein Hash ist eine kryptografische Funktion, die einen Datensatz (hier eine Nachricht) in eine feste Länge von Zeichen, den Hash-Wert, umwandelt.

Diese Funktion kann verwendet werden, um die Integrität einer Nachricht zu überprüfen, da selbst geringfügige Änderungen an der Nachricht zu einem völlig anderen Hash-Wert führen.

Sicherer Anschlussknoten (SAK)

Ein Sicherer Anschlussknoten ist eine NOOTS-Komponente, die zentral bereitgestellt aber dezentral betrieben wird. Sie ermöglicht den Data Consumern und Data Providern einen einfachen und sicheren Anschluss an das NOOTS und den Versand und Empfang von Nachrichten über die NOOTS-Transportinfrastruktur. Der Sichere Anschlussknoten wird im Verantwortungsbereich der Data Consumers bzw. Data Providers betrieben. So hat er Zugriff auf die unverschlüsselten Nachrichteninhalte und kann Sicherheitsfunktionen übernehmen. Insbesondere kontaktiert der Sichere Anschlussknoten die Vermittlungsstelle vor jedem Nachweisabruf, sodass ein Umgehen der Vermittlungsstelle nicht möglich ist.

Zero-Trust-Prinzip

Das Zero-Trust-Prinzip ist ein Sicherheitskonzept, das davon ausgeht, dass kein Benutzer, Gerät oder Netzwerk von Natur aus vertrauenswürdig ist. Nach dem Motto "niemals vertrauen, immer verifizieren" erfordert es kontinuierliche Authentifizierung und Autorisierung aller Nutzer und Systeme. Jede Zugriffsanfrage wird überprüft, um sicherzustellen, dass nur autorisierte Nutzer und Systeme Zugang zu den Ressourcen erhalten.

7.3 Randbedingungen

7.3.1 Technische / Organisatorische / Rechtliche Randbedingungen

Die Randbedingungen für die Konzeption der Vermittlungsstelle ergeben sich großteils aus rechtlichen und Datenschutz-Vorgaben.

7.3.1.1 Kein Zugriff auf personenbezogene Daten

Um nicht selbst zu einer potentiellen Gefahrenquelle für den Datenschutz zu werden, darf die Vermittlungsstelle keine Kenntnis über die Inhalte der Kommunikation, die sie kontrolliert, erhalten. So ist sichergestellt, dass sie nicht selbst zur Bildung von Persönlichkeitsprofilen missbraucht werden kann.

7.3.1.2 Öffentliche Stelle

Die Vermittlungsstelle muss gem. § 7 Abs. 2 IDNrG eine öffentliche Stellen gem. § 2 BDSG sein. Insbesondere muss sie eine dritte öffentliche Stelle sein. Das bedeutet, sie muss technisch, organisatorisch und rechtlich von Data Consumer und Data Provider getrennt sein.

7.3.1.3 4-Corner-Modell

Die Gesetzesbegründung des RegMoG schlägt die Etablierung eines 4-Corner-Modells für die Umsetzung der Vermittlungsstelle vor, macht jedoch keine weiteren Angaben zu dessen Ausgestaltung. Das 4-Corner-Modell ist grundsätzlich ein Kommunikationsmodell, bei dem zwei Kommunikationspartner (Corner 1 und Corner 4) eine Nachricht austauschen wollen und bestimmte Aufgaben der Kommunikation an andere Rollen (Corner 2 und Corner 3) delegieren (vgl. Abb. 2).

Abb. 2: Allgemeines 4-Corner-Modell

Ein solches 4-Corner-Modell wird in verschiedenen Formen und Kontexten angwandt, u.a. für Finanztransaktionen (vgl. Peppol, hier sind Corner 2 und Corner 3 durch Access Points repräsentiert).

Im öffentlichen Bereich sind Corner 2 und Corner 3 oft gedanklich schon innerhalb einer Stelle von Sender bzw. Empfänger einer Nachricht verortet und übernehmen dort Aufgaben wie bspw. Schema-Validierung, Verschlüsselung oder Versand der Nachricht. Eine Vermittlungsstelle, wie sie § 7 Abs. 2 IDNrG vorsieht und insofern unabhängig von den bereits etablierten Rollen ist, wäre dabei gedanklich am ehesten zwischen Corner 2 und Corner 3 anzusiedeln, denn gem. § 7 Abs. 2 IDNrG ist sie eine (dritte) öffentliche Stelle und damit unabhängig von Corner1/2 und Corner 3/4. Es handelt sich hier folglich eher um ein 5-Corner-Modell, in dem die Vermittlungsstelle eine unabhängige Instanz darstellt, die die Kommuniktion zwischen Corner 1 und Corner 4 prüft (vgl. Abb. 3).

Abb. 3: Kommunikationsmodell mit einer unabhängigen Instanz (Corner 5) mit Prüffunktion

In diesem Modellansatz sind ebenso die Anforderungen zu berücksichtigen, die sich aus dem Wortlaut und dem Sinn und Zweck der Regelung ergeben.Sinn und Zweck des § 7 Abs. 2 IDNrG ist entsprechend Gesetzesbegründung die Schaffung einer Sicherung bei bereichsübergreifender Datenübermittlung, die ein besonderes Risiko der Persönlichkeitsprofilbildung bergen. Die wesentliche Sicherheitsfunktion der Vermittlungsstelle ist die unabhängige Prüfung der(abstrakten) Übermittlungsberechtigung auf technischer Ebene, um dieses Risiko zu verringern. Dies findet in der beschrieben Architektur in Form des Token-Mechanismus und über eine Verankerung mittels der Sicheren Anschlussknoten Berücksichtigung.

7.3.1.4 Mitwirkungsnotwendigkeitder Kommunikationspartner

Bei genauer Betrachtung stellt sich heraus, dass die Vermittlungsstelle der ihr aus Gründen des Datenschutzes zugedachten Aufgabe (Vermeidung des Risikos der Profilbildung) alleine (d.h. ohne die Mithilfe weiterer am Kommunikationsprozess beteiligter Akteure)nicht zufriedenstellend nachkommen kann.

Für die Durchführung der abstrakten Berechtigungsprüfung benötigt sie Informationen über den Kommunikationszweck und die Verwendung der IDNr für den Nachweisabruf (sog. “Metadaten der Kommunikation”). Da sie keine Einsicht in den Nachrichteninhalt hat, muss sie diese Angaben vom Data Consumerer halten, d.h. von der Stelle, die die Anfrage stellt. Diese Angaben kann die Vermittlungsstelle jedoch nicht verifizieren, sie muss sich bei der Durchführung der Prüfung auf deren Richtigkeit verlassen. Die Vermittlungsstelle führt die abstrakte Berechtigungsprüfung also vorbehaltlich der Richtigkeit der Angaben des Data Consumers durch.

Wegen der Ende-zu-Ende-Verschlüsselung hat außer dem Data Consumer nur der Data Provider Einsicht in den Nachrichteninhalt. Folglich kann nur der Data Provider prüfen, ob die Angaben des Data Consumers korrekt sind. Für eine zuverlässige abstrakte Berechtigungsprüfung ist es notwendig, dass der Data Provider die Angaben, die der abstrakten Berechtigungsprüfung zugrunde gelegt wurden, mit dem tatsächlichen Nachrichteninhalt abgleicht und dadurch das Ergebnis der durch die Vermittlungsstelle durchgeführten abstrakten Berechtigungsprüfung bestätigt.

Es wird somit deutlich, dass die Vermittlungsstelle für eine zuverlässige Wahrnehmung ihrer Aufgabe die Mitwirkungder beteiligten Kommunikationspartner benötigt:

  • Die Mitwirkung des Data Consumers, indem er wahrheitsgemäße Angaben über den beabsichtigten Nachweisabruf macht, und
  • die Mitwirkung des Data Providers, indem er prüft, ob der abstrakten Berechtigungsprüfung durch die Vermittlungsstelle wahrheitsgemäße Angaben zugrunde gelegt wurden.

Diese Problematik wird durch die beschriebene Lösungsstrategie (ein Token-Ansatz, in dem die Vermittlungsstelle den Nachweisabruf durch Ausstellung eines Tokens autorisiert, welches einfach durch den Data Provider validiert werden kann) und im Zusammenwirken mit den "Sicheren Anschlussknoten" der NOOTS-Transportinfrastruktur adressiert.

7.3.1.5 Sichere Anschlussknoten

Für die Funktionsweise der Vermittlungsstelle ist der Aufbau der Transportinfrastruktur des NOOTS (AD-NOOTS-19) relevant. Vermittlungsstelle und Transportinfrastruktur sind konzeptionell so aufeinander abgestimmt, dass die Anforderungen des Datenschutzes an die Kontrolle des Nachweisabrufs im Allgemeinen und an die Vermittlungsstelle im Speziellen adressiert werden können.

Um die Durchführung der abstrakten Berechtigungsprüfung sicherzustellen, sieht die Konzeption zur Transportinfrastruktur den verpflichtenden Einsatz von sog. "Sicheren Anschlussknoten" bei Data Consumern und Data Providern vor. Dabei handelt es sich um NOOTS-Komponenten, die zentral bereitgestellt werden, jedoch dezentral betrieben werden. D.h. jeder Data Consumer und Data Provider betreibt seine eigene Instanz des Sicheren Anschlussknoten.

Der Sichere Anschlussknoten vereinfacht einerseits die Anbindung an das NOOTS und stellt andererseits sicherheitsrelevante Funktionalitäten zur Verfügung. Da er im Verantwortungsbereich des Data Consumers bzw. Data Providers betrieben wird, hat er Zugriff auf die Inhaltsdaten und kann deshalb u.a. die Verschlüsselung des Requests übernehmen. Durch die Einsicht in den XNachweis-Request hat der Sichere Anschlussknoten des Data Consumers die Möglichkeit, die relevanten Angaben für die abstrakte Berechtigungsprüfung direkt aus diesem zu ermitteln. So ist es möglich, dass der Sichere Anschlussknoten

  • auf Seite des Data Consumers die relevanten Angaben für die abstrakte Berechtigungsprüfung direkt aus dem XNachweis-Request ermittelt und an die Vermittlungsstelle übergibt, und
  • auf Seite des Data Providers die relevanten Informationen ebenfalls aus dem XNachweis-Request ermittelt und mit den Daten, die die Vermittlungsstelle der abstrakten Berechtigungsprüfung zugrunde gelegt hat (und im Abruftokengespeichert hat), vergleicht.

Dadurch ist die Vermittlungsstelle an zwei Punkten (jeweils in den Sicheren Anschlussknoten) im Nachrichtentransport relevant und ein negatives Ergebnis ihrer abstrakten Berechtigungsprüfung führt an beiden Punkten dazu, dass der Nachrichtentransport unterbrochen wird.

  • Meldet die Vermittlungsstelle ein negatives Ergebnis der abstrakten Berechtigungsprüfung und stellt kein Abruftoken aus, unterbricht der Sichere Anschlussknoten des Data Consumers die Kommunikation.
  • Fällt die Prüfung des Abruftokens negativ aus, unterbricht der Sichere Anschlussknoten des Data Providers die Kommunikation.

Auf diese Weise ist es möglich, gleichzeitig Zuverlässigkeit bzgl. der Zielsetzung der Vermittlungsstelle sowie eine einfache Lösung mit wenig Aufwand für Data Consumer und Data Provider zu gewährleisten.

7.3.1.6 Protokollierung

Die Protokollierung der Vermittlungsstelle verfolgt zwei grundsätzliche Zielsetzungen:

  1. Fachliche Nachvollziehbarkeit (Protokollierung fachlich relevanter Ereignisse) mittels eine Audit Logs. Hier ist zu unterscheiden zwischen
    1. Protokollierung der abstrakten Berechtigungsprüfung, und
    2. Protokollierung der Änderungen an den abstrakten Berechtigungen.
  2. Technische Nachvollziehbarkeit (zur Fehleranalyse) mittels eines technischen Logs.

Im Folgenden wird die fachliche Protokollierung betrachtet, die technische Protokollierung ist Gegenstand der Konzeption der Umsetzung.

  • Gem. § 7 Abs. 2 IDNrG muss die Vermittlungsstelle die abstrakte Berechtigungsprüfung protokollieren. Zielsetzung dieser Protokollierung ist die Analyse hinsichtlich Kontrollfunktion, Statistik und Qualität des Dienstes. Die Vermittlungsstelle unterliegt nicht der Protokollierungspflicht gem. § 9 IDNrG und liefert keine (Protokoll-)Daten an das Datenschutzcockpit. Sie verarbeitet keine personenbezogenen Daten (insbes. hat sie keinen Zugriff auf die IDNr).
  • Änderungen an den abstrakten Berechtigungen, dem zugrundeliegenden Regelwerk, müssen revisionssicher, d.h. insbes. vollständig, nachvollziehbar, unverzüglich und unveränderbar, protokolliert werden.

Die fachlichen Protokolldaten unterliegen keiner Löschpflicht. Sie sind mindestens zwei Jahre aufzubewahren, um eine gemeinsame Auswertung mit anderen Protokolldaten, insbes. denen gem. § 9 IDNrG, zu ermöglichen. Die Bereitstellung der Protokolldaten erfolgt in einer Weise die eine Analyse hinsichtlich der Zielsetzungen zulässt (bspw. durch einen strukturierten Export, ggf. auch aggregiert).

7.3.2 Abgrenzungen

7.3.2.1 Einschaltung der Vermittlungsstelle nur beim Nachweisabruf

Die Vermittlungsstelle kommt nur beim Nachweisabruf zum Einsatz. Bei anderen Kommunikationsbeziehungen, bspw. beim Basisdatenabruf aus IDA, wird sie nicht eingeschaltet.

7.3.2.2 Verwaltungsbereiche

Das IDNrG sieht die Definition von Verwaltungsbereichen vor (vgl. § 12 Abs. 1 IDNrG). Bei bereichsübergreifenden Datenübermittlungen ist gem. § 7 Abs. 2 IDNrG eine abstrakte Berechtigungsprüfung notwendig. Eine Durchführung der abstrakten Berechtigungsprüfung innerhalb eines Verwaltungsbereichs ist möglich (vgl. § 12 Abs. 4 IDNrG).

Die Pflege der Verwaltungsbereiche inkl. der Zuordnung von Data Consumern und Data Providern zu Verwaltungsbereichen erfolgt außerhalb der Vermittlungsstelle (ggf. im Verzeichnisdienst) und wird ihr über eine Schnittstelle zur Verfügung gestellt.

7.3.2.3 IAM für Behörden

Das IAM für Behörden ist eine zentrale NOOTS-Komponente, die Daten zu Identität und Rollen von IT-Komponenten (also insbes. Data Consumern und Data Providern) bereitstellt. Am NOOTS teilnehmende IT-Komponenten erhalten vom IAM für Behörden nach Anmeldung ein IAM-Zugriffstoken, das für die weitere Kommunikation mit anderen NOOTS-Teilnehmern (zentralen Komponenten sowie bspw. Data Providern) benötigt wird. In diesem Token sind Identitätsdaten (insbes. die NOOTS-weit eindeutige Komponenten-ID und der Verwaltungsbereich) und Rollen sowie Teilnahmeart (bspw. "Data Consumer") hinterlegt.

Da sowohl die Vermittlungsstelle (das Abruftoken) als auch das IAM für Behörden (das Zugriffstoken) ein Token auf Basis ähnlicher Standards verwenden, stellt sich die Frage, ob eine Zusammenlegung (auf fachlicher Ebene) zielführend ist. Dies wurde aus verschiedenen Gründen verworfen, unter anderem:

  • Vermittlungsstelle und IAM für Behörden haben eine unterschiedliche fachliche Zielstellung. Während das IAM für Behörden eine Authentifizierung von IT-Komponenten verbunden mit der Bereitstellung von Identitätsdaten für die Kontrolle des Zugriffs auf andere IT-Komponenten verfolgt, ist das Ziel der Vermittlungsstelle die fachliche Autorisierung eines einzelnen Nachweisabrufs.
  • Vermittlungsstelle und IAM für Behörden sind an verschiedenen Stellen in den Nachweisabrufprozess eingebunden, sodass kein Vorteil hinsichtlich der Anzahl der notwendigen Schnittstellen-Aufrufe erreicht werden kann. Das Zugriffstoken des IAM für Behörden muss direkt zu Beginn des Nachweisabrufprozesses abgerufen werden, bevor alle anderen Komponenten angefragt werden können. Das Abruftoken der Vermittlungsstelle kann erst abgerufen werden, nachdem zumindest der zuständige Data Provider von der Registerdatennavigation (RDN) angefragt wurde (dafür ist bereits das IAM-Zugriffstoken notwendig).
  • Das IAM für Behörden kann auf diese Weise perspektivisch als generischer Dienst auch über die Registermodernisierung hinaus verwendet werden, da es so keine registerspezifischen Vorgaben enthält. Diest steht im Einklang mit den föderalen Architekturrichtlinien u.a. zu Wiederverwendbarkeit und Modularität.

7.3.2.4 Verzeichnisdienst

Für die Pflege der abstrakten Berechtigungen, d.h. die Zuordnung von Data Providern zu abrufberechtigten Data Consumern unter Angabe des zulässigen Kommunkationszwecks, kann ein Verzeichnisdienst verwendet werden. Von diesem kann die Vermittlungsstelle die Daten abrufen, die sie für die Durchführung der abstrakten Berechtigungsprüfung benötigt. Zu beachten ist, dass eine Zuordnung der Daten des Verzeichnisdienstes (v.a. der Data Provider und abrufberechtigten Data Consumer) zu den Angaben aus der Berechtigungsanfrage des Data Consumers möglich sein muss. Da diese Daten aus dem IAM für Behörden stammen, ist es notwendig, dass eine Synchronisation zwischen Verzeichnisdienst und IAM für Behörden zwecks Zuordenbarkeit stattfindet.

Es wird aktuell davon ausgegangen,dass der Verzeichnisdienst durch das Fachdatenkonzept bzw. dessen Nachweiskatalog oder RegMo-Repository zur Verfügung gestellt wird. Dies befindet sich in Prüfung und Detaillierung (vgl. Kap. "Offene Punkte").

7.4 Kontextabgrenzung

7.4.1 Fachlicher Kontext

Folgend ist der fachliche Kontext der Vermittlungsstelle dargestellt.

Beachte: Hinsichtlich des Nachweisabrufsist dies eine vereinfachte Darstellung, die nur die aus Sicht der Vermittlungsstelle relevanten Aspekte enthält. Eine vollständige Beschreibung findet sich in der High-Level-Architecture des NOOTS (AD-NOOTS-03) mit weiteren spezifischen Ergänzungen in den Architekturdokumentationen der einzelnen Komponenten, insbes. der Transportinfrastruktur.

Abb. 4: Fachlicher Kontext der Vermittlungsstelle

Die Einbindung der Vermittlungsstelle erfolgt immer beim Abruf eines Nachweises durch einen Data Consumer bei einem Data Provider (ebenso bei EU-Nachweisabruf, hier agiert die Intermediäre Plattform jeweils als Data Consumer oder Data Provider).

  • Dazu meldet sich der Data Consumer zunächst mittels des IAM für Behörden am NOOTS an. Er erhält dann ein IAM-Zugriffstoken, das ihm die Kommunikation mit NOOTS-Komponenten und Data Providern ermöglicht.
  • Anschließend ermittelt er den für den gewünschten Nachweis zuständigen Data Provider mittels der Registerdatennavigation. Er benötigt dafür das IAM-Zugriffstoken und erhält die Daten des zuständigen Data Providers (insbes. seine Komponenten-ID).
  • Vor dem Nachweisabruf selbst muss die abstrakte Berechtigungsprüfung erfolgen. Dazu übermittelt der SAK des Data Consumers das IAM-Zugriffstoken (das die Identität des Data Consumer überprüfbar enthält) sowie weitere notwendige Angaben (u.a. Data Provider, Verwendung der IDNr und Kommunikationszweck) an die Vermittlungsstelle. Sie führt (falls notwendig) die abstrakte Berechtigungsprüfung durch und stellt (bei positivem Ergebnis oder falls eine abstrakte Berechtigungsprüfung nicht notwendig ist) ein Abruftoken aus, das diesen Nachweisabruf autorisiert.
  • Schließlich ruft der Data Consumer den Nachweis ab. Dazu übermittelt sein SAK den XNachweis-Request (inkl. Abruftoken, das im XNachweis-Request übertragen wird) und das IAM-Zugriffstoken an den SAK des Data Providers.
  • Der SAK des Data Providers prüft zunächst die Echtheit des Abruftokens. Dazu benötigt er das Public-Key-Zertifikat der Vermittlungsstelle. Weiterhin prüft er die Daten des Abruftokens gegen die des XNachweis-Requests. Bei positivem Ergebnis gibt er den Request an den Data Provider weiter, woraufhin dieser den Request verarbeitet und die Response versendet.

Für die Durchführung der abstrakten Berechtigungsprüfung benötigt die Vermittlungsstelle Zugriff auf einen Verzeichnisdienst, der die abstrakten Berechtigungen bereitstellt.

  • Von diesem Verzeichnisdienst ruft sie die Informationen für die abstrakte Berechtigungsprüfung ab (d.h. welcher Data Consumer bei welchem Data Provider zu welchem Zweck Daten abrufen darf).
  • Dafür ist es notwendig, dass die Vermittlungsstelle die Informationen aus dem Verzeichnisdienst den im IAM für Behörden verwalteten IT-Komponenten (d.h. Data Consumern und Data Providern) eindeutig zuordnen kann, damit sie auf Basis der Informationen aus dem Zugriffstoken und der Komponenten-ID des Data Providers aus der RDN die Berechtigungsprüfung durchführen kann. Dazu muss eine Synchronisation zwischen Verzeichnisdienst und IAM für Behörden stattfinden.

7.4.2 Technischer Kontext

Die Vermittlungsstelle wird (ggf. perspektivisch) ebenfalls über einen Sicheren Anschlussknoten an das NOOTS angebunden.

7.5 Anforderungen

7.5.1 Funktionale Anforderungen

Tab. 2: Funktionale Anforderungen zur Vermittlungsstelle

ID Anforderung

AFO-VS-106

Die Vermittlungsstelle MUSS bei Berechtigungsanfragen für einen verwaltungsbereichsübergreifenden Nachweisabruf unter Nutzung der IDNr eine abstrakte Berechtigungsprüfung durchführen.

AFO-VS-584

Die Vermittlungsstelle MUSS Berechtigungsanfragen und insbesondere die abstrakte Berechtigungsprüfung protokollieren.

AFO-VS-585

Die Vermittlungsstelle MUSS sicherstellen, dass die Abruferlaubnis nur dann erteilt wird, wenn sie die abstrakte Berechtigung positiv geprüft hat oder wenn sie festgestellt hat, dass diese Prüfung nicht notwendig ist.

AFO-VS-1004

Die Vermittlungsstelle MUSS Berechtigungsanfragenablehnen, falls die abstrakte Berechtigungsprüfung negativ ausfällt.

AFO-VS-1005

Die Vermittlungsstelle MUSS die Protokolldaten zur Berechtigungsprüfung in einer Form bereitstellen, die eine Auswertung (insbes. hinsichtlich Kontrolle, Statistik und Qualität des Dienstes) ermöglicht.

AFO-VS-1006

Die Vermittlungsstelle MUSS die Durchführung einer abstrakten Berechtigungsprüfung auch innerhalb eines Verwaltungsbereichs unterstützen.

AFO-VS-1007

Die Vermittlungsstelle MUSS den Import der abstrakten Berechtigungen aus einem Verzeichnisdienst ermöglichen.

AFO-VS-1008

Die Vermittlungsstelle MUSS Änderungen an den abstrakten Berechtigungen protokollieren.

AFO-VS-1009

Die Vermittlungsstelle MUSS die Bereitstellung der Protokolldaten zu Änderungen an den abstrakten Berechtigungenin einer Form ermöglichen, die eine Auswertung (insbes. hinsichtlich Kontrolle) ermöglicht.

AFO-VS-1014

Die Vermittlungsstelle MUSS die Datengrundlage für die abstrakte Berechtigungsprüfung (Kommunikationspartner, Kommunikationszweck, Verwendung IDNr) in der Abruferlaubnis hinterlegen, um eine Validierung auf Seite des Data Providers zu ermöglichen.

AFO-VS-1015

Die Vermittlungsstelle MUSS die Abruferlaubnis siegeln, um eine Validierung auf Seite des Data Providers zu ermöglichen.

AFO-VS-1016

Die Vermittlungsstelle MUSS den Hash-Wert des XNachweis-Requests in der Abruferlaubnis hinterlegen (für eine Validierung auf Seite des Data Providers), um eine Wiederverwendung der Abruferlaubnis für andere Requests auszuschließen.

7.5.2 Nicht-funktionale Anforderungen

Tab. 3: Nicht-funktionale Anforderungen zur Vermittlungsstelle

ID Anforderung

AFO-VS-555

Die Vermittlungsstelle MUSS ihre Aufgaben ohne Kenntnis des Nachrichteninhalts erbringen.

AFO-VS-556

Die Vermittlungsstelle MUSS eine dritte (d.h. von Data Consumer und Data Provider unabhängige) öffentliche Stelle sein.

AFO-VS-1010

Die Vermittlungsstelle MUSS Berechtigungsanfragen innerhalb von weniger als 3 Sekunden beantworten.

AFO-VS-1011

Die Vermittlungsstelle MUSS 24/7 verfügbar sein.

AFO-VS-1012

Die Vermittlungsstelle MUSS 99,9% der Zeit verfügbar sein.

AFO-VS-1013

Die Vermittlungsstelle MUSS fachliche Protokolldaten mindestens 2 Jahre aufbewahren.

AFO-VS-1017

Die Vermittlungsstelle MUSS eine hohe noch zu definierende Anzahl von Anfragen pro Sekunde verarbeiten können.

AFO-VS-1018

Die Vermittlungsstelle MUSS skalierbar sein, d.h. mit Lastspitzen sowie einer Zunahme des Volumens über Zeit umgehen können.

7.6 Lösungsstrategie

7.6.1 Geprüfte Lösungsentwürfe und Hintergrund zur Architektur

Im Rahmen der Konzeption sind zwei Lösungsansätze vertieft betrachtet worden:

  1. Die Vermittlungsstelle ist Bestandteil der Kommunikationsverbindung zwischen Data Consumer und Data Provider.
  2. Die Vermittlungsstelle ist nicht Bestandteil der Kommunikationsverbindung zwischen Data Consumer und Data Provider, sondern autorisiert die Kommunikation zwischen Data Consumer und Data Provider.

Der zweite Ansatz wird aus Architektursicht als geeigneter bewertet. Der Hintergrund ist im Folgenden erläutert.

Aufgabe der Vermittlungsstelle ist es, mittels Durchführung der abstrakten Berechtigungsprüfung als Kontrollinstanz im Nachweisabruf das Risiko für die Profilbildung zu verringern (vgl. Kap. "Ziele der Vermittlungsstelle"). Dazu ist die Mitwirkung des Data Consumers bzw. des Data Providers notwendig (vgl. Kap. "Mitwirkungsnotwendigkeit von mind. einem beteiligten Kommunikationspartner"). Eine Vermittlungsstelle gemäß dem ersten Ansatz, die allein auf der Transportstrecke verortet ist,kann ihrer Aufgabe nur dann gerecht werden, wenn die gleichen Anforderungen an Data Consumer und Data Provider gestellt werden und den beiden Kommunikationspartern die Mitwirkung entsprechend ermöglicht wird.

Aus Sicht der NOOTS-Gesamtarchitektur entspricht die abstrakte Berechtigungsprüfung der Autorisierung eines Zugriffs auf eine geschützte Ressource (den Nachweis des Data Providers). Dies ist kein spezifisches Problem des NOOTS. In komplexen technischen Systemen wird dies regelmäßig mittels einer modernen Token-Architektur umgesetzt (oft wird dazu auf den verbreiteten Standard “OAuth2” zurückgegriffen). Ein solcher Token-Ansatz hat insbes. den Vorteil, dass die Validierung durch den Data Provider sehr einfach durchzuführen ist. Zunächst prüft er anhand der Siegelung, ob das Token durch die Vermittlungsstelle ausgestellt wurde. Dann gleicht er die im Token enthaltenen Informationen zu „Verwendung der IDNr“, “Kommunikationspartner“ und „Kommunikationszweck” mit dem Nachrichteninhalt ab. Fallen beide Prüfungen positiv aus, beginnt er mit der fachlichen Verarbeitung der Nachricht, andernfalls weist er die Anfrage zurück.

Die Transportinfrastruktur sieht den verpflichtenden Einsatz von "Sicheren Anschlussknoten" bei Data Consumern und Data Providern vor (vgl. Kap. "NOOTS-Transportinfrastruktur & Sichere Anschlussknoten"). Diese können den Transport unterbrechen, noch bevor der Request den Data Provider erreicht.

Der beschriebene Ansatz einer Kombination aus Token-basierter Autorisierung des Nachweisabrufs im Zusammenspiel mit den Sicheren Anschlussknoten ermöglicht Zuverlässigkeit und Sicherheit:

  • Der verpflichtende Einsatz der Sicheren Anschlussknoten verankert den Aufruf der Vermittlungsstelle im Sicheren Anschlussknoten des Data Consumers.
    • Der Aufruf der Vermittlungsstelle kann nicht umgangen werden.
  • Durch die Ermittlung der relevanten Daten für die abstrakte Berechtigungsprüfung durch den Sicheren Anschlussknoten des Data Consumers direkt aus XNachweis-Request ist es nicht möglich, dass (versehentlich oder vorsätzlich) vom Request abweichende Angaben an die Vermittlungsstelle übermittelt werden. Der Sichere Anschlussknoten ermittelt die Prüfungsgrundlage direkt aus dem XNachweis-Request, versendet die ermittelten Daten gemeinsam mit dem Zugriffstoken des Data Consumers an die Vermittlungsstelle und übermittelt nach deren positiver Rückmeldung den XNachweis-Requests unmittelbar an den Sicheren Anschlussknoten des Data Providers.
    • Die Richtigkeit der Daten, die an die Vermittlungsstelle für die abstrakte Berechtigungsprüfung übermittelt werden, ist sichergestellt.
  • Liegt die abstrakte Berechtigung nicht vor, versendet der Sichere Anschlussknoten des Data Consumers die Nachricht nicht.
    • Eine Unterbrechung der Kommunikation bei negativem Prüfergebnis noch auf Seite des Data Consumers ist sichergestellt.
  • Der Sichere Anschlussknoten des Data Providers entschlüsselt die Nachricht und prüft das Token. Nur wenn das Token authentisch ist und zum Request passt, leitet er die entschlüsselte Nachricht an den Data Provider weiter (erneute Prüfung auf Seite des Data Providers: Zero-Trust-Prinzip).
    • Die Berechtigung wird erneut auf Seite des Data Providers geprüft (Zero-Trust-Prinzip), bevor der Request an den Data Provider weitergegeben wird.

Neben Zuverlässigkeit, Sicherheit sowie geringenAufwänden für Data Consumer und Data Provider bietet dieserLösungsansatz weitere Vorteile:

  • Die Vermittlungsstelle ist nicht Bestandteil der Kommunikationsverbindung zwischen Data Consumer und Data Provider (wenn auch "integraler Bestandteil der Transportinfrastruktur" wegen der festen Verankerung in den Sicheren Anschlussknoten und der Unmöglichkeit des Transports ohne Token). Es findet also eine weitestmögliche Entkopplung von Transportinfrastruktur und Vermittlungsstelle statt (die Vermittlungsstelle muss selbst keine Transportaufgaben wahrnehmen, es muss kein Routing "über die Vermittlungsstelle" erfolgen). Dies entspricht der Forderung der Architekturrichtlinie SR10 “Sicherstellung von loser Kopplung/Modularität” des IT-Planungsrats (ITPLR-FAR).
  • Dadurch wird die Komplexität der Architektur und der Infrastruktur gesenkt. Dies beeinflusst Aufwände für Umsetzung und Betrieb sowie die Fehleranfälligkeit in positiver Weise.
  • Durch die Vermeidung von Abhängigkeiten schränken sich Vermittlungsstelle und Transportinfrastruktur nicht gegenseitig ein. Beide können unabhängig voneinander betrieben und weiterentwickelt werden, sodass die Zukunftsfähigkeit steigt. Insbes. wird eine zukünftige Migration des Transportstandards vereinfacht.
  • Das Vorgehen ermöglicht es, auf marktübliche Standards zurückzugreifen (z.B. OAuth). Dies entspricht der Forderung der Architekturrichtlinie SR3 “Bestehende Marktstandards verwenden” des IT-Planungsrats (ITPLR-FAR).

7.6.2 Architekturentscheidungen

Es kommt im NOOTS eine zentrale Vermittlungsstelle zum Einsatz (NOOTS-AE: VS-2024-01)

Die Vermittlungsstelle darf gem.§ 7 Abs. 2 IDNrG keine Kenntnis über die Inhalte der Kommunikation erhalten, die sie kontrolliert. Da sie also keine personenbezogenen Daten verarbeitet, ist es ihr folglich unmöglich, selbst Profilbildung zu betreiben. Es besteht somit aus Sicht des Datenschutz keine Notwendigkeit für eine höhere Anzahl von Vermittlungsstellen. Eine einzige zentrale Vermittlungsstelle für das NOOTS ist ausreichend und zielführend.

Die Einrichtung einer einzigen zentralen Komponente entspricht den Ansätzen vergleichbarer NOOTS-Komponenten, die ebenfalls keine personenbezogenen Daten verarbeiten (bspw. Registerdatennavigation, IAM für Behörden). Auch für diese wird es nur eine zentrale Komponente für das gesamte NOOTS geben. Im Gegensatz dazu sind für die Intermediäre Plattform mehrere Instanzen vorgesehen, da die Intermediäre Plattform (anders als die Vermittlungsstelle und die vorgenannten Komponenten) Zugriff auf personenbezogene Daten hat.

Die Vermittlungsstelle wird generell für alle Nachweisabrufe eingeschaltet (NOOTS-AE: VS-2024-02)

Die Vermittlungsstelle wird für alle Nachweisabrufe im NOOTS eingeschaltet (d.h. für alle nationalen sowie für grenzüberschreitende Nachweisabrufe). Eine abstrakte Berechtigungsprüfung führt sie nur durch, falls dies rechtlich notwendig ist. Ansonsten stellt sie das Token pauschal (d.h. ohne abstrakte Berechtigungsprüfung) aus.

Die generelle Einschaltung der Vermittlungsstelle bedeutet eine Gleichbehandlung aller Nachweisabrufe im NOOTS und hat eine wesentliche Komplexitätsreduktion zur Folge. Dadurch lassen sich verschiedene Vorteile realisieren.

  • Der Data Consumer (bzw. dessen Sicherer Anschlussknoten) benötigt kein Wissen, ob die Vermittlungsstelle im konkreten Fall einzuschalten ist. Er wendet sich vor jedem Nachweisabruf an die Vermittlungsstelle und die Vermittlungsstelle entscheidet, ob eine abstrakte Berechtigungsprüfung notwendig ist.
  • Das gleiche gilt für den Data Provider (bzw. dessen Sicheren Anschlussknoten). Dadurch vereinfacht sich die Prüfung des Tokens durch den Data Provider. Bei selektiver Einschaltung der Vermittlungsstelle müsste diese Logik den Data Providern (bzw. deren Sicheren Anschlussknoten) bekannt sein, damit zunächst geprüft werden kann, ob ein Token für die vorliegende Kommunikation notwendig ist. Da die Vermittlungsstelle aber pauschal ein Token ausstellt, das signalisiert, dass diese Prüfung bereits an anderer Stelle stattgefunden hat, muss diese Logik nicht beim Data Provider repliziert werden. Die Prüfung des Tokens für den Data Provider vereinfacht sich maßgeblich.
  • Die generelle Einschaltung der Vermittlungsstelle in den Nachweisabruf erhöht die Erweiterbarkeit der abstrakten Berechtigungsprüfung (bspw. die Ausweitung auf eine Anwendung auch innerhalb bestimmter Verwaltungsbereiche gem. § 12 Abs. 4 IDNrG) und damit die Zukunftsfähigkeit der Vermittlungsstelle. Es gibt so eine zentrale Komponente, für die diese Informationen relevant sind und gepflegt werden müssen. Aus Sicht der Data Consumer und Data Provider ist im Fall einer solchen Ausweitung der abstrakten Berechtigungsprüfung keine Anpassung notwendig.

Die aus dieser Entscheidung resultierende Laststeigerung ist als gering und insbes. handhabbar einzuschätzen, da davon auszugehen ist, dass perspektivisch ein Großteil der Abrufe unter Verwendung der IDNr stattfinden wird.

Eine Einbindung der Vermittlungsstelle im Nachweisabrufprozess ist nur einmal notwendig (auf Seite des Data Consumers)

  • Der Sichere Anschlussknoten des Data Providers kann die Prüfung des Tokens alleine durchführen. Die Echtheit des Tokens stellt er durch Prüfung der Siegelung des Tokens (mittels des Public-Key-Zertifikats der Vermittlungsstelle) sicher. Der Abgleich der Daten aus Token und Request erfolgt auf Basis der von der Vermittlungsstelle im Token hinterlegten Prüfungsgrundlage.
  • Es ist auf Seite des Data Providers somit keine erneute Anfrage bei der Vermittlungsstelle erforderlich, um ein Token zu validieren.

Eine Prüfung der Response durch den Sicheren Anschlussknoten des Data Consumers ist nicht notwendig

  • Die Kommunikation zwischen den Sicheren Anschlussknoten von Data Consumer und Data Provider erfolgt nur entsprechend dem Request-Response-Nachrichtenaustauschmuster (vgl. Kap.Nachrichtenaustauschmusterder High-Level-Architecture des NOOTS (AD-NOOTS-03)).
  • Es ist für den Sicheren Anschlussknoten des Data Consumers deshalb technisch nicht möglich, Daten mittels einer Response zu erhalten, zu der er vorher keinen Request versendet hat.
  • Es kann sich bei einer eingehenden Nachricht also nur um eine Response auf einen Requests handeln, der bereits durch die Vermittlungsstelle freigegeben wurde.

7.7 Bausteinsicht

7.7.1 Datenmodell

Abb. 5: Fachliches Datenmodell

Die Vermittlungsstelle benötigt für die Durchführung der abstrakten Berechtigungsprüfung die Information, welche Kommunikationspartner zu welchem Zweck miteinander kommunizieren dürfen ("abstrakte Berechtigung"). Der Kommunikationszweck ergibt sich dabei aus dem angefragtem Nachweistyp, ggf. in Verbindung mit einer Rechtsgrundlage (alternativ ist eine Abbildung der Rechtsgrundlage durch Berücksichtigung bereits im Rahmen des Pflegeprozesses der abstrakten Berechtigungen im Verzeichnisdienst denkbar).

Darüber hinaus benötigt die Vermittlungsstelle die Information, ob in einem Verwaltungsbereich eine Berechtigungsprüfung auch innerhalb des Bereichs vorgesehen ist, falls beide Kommunikationspartner zum gleichen Verwaltungsbereich gehören.

Die dargestellten Daten erhält die Vermittlungsstelle durch regelmäßige Synchronisation über eine Schnittstelle zum Verzeichnisdienst.

7.7.2 Facharchitektur

7.7.2.1 Bausteine und Abhängigkeiten

Abb. 6: Fachliche Architektur der Vermittlungsstelle

7.7.2.2 Abruftoken

Nach positiver Prüfung stellt die Vermittlungsstelle ein Abruftoken für einen Nachweisabruf aus. In diesem Token speichert sie die Informationen, auf deren Basis sie die Berechtigungsprüfung durchgeführt hat, und siegelt das Token, damit die Echtheit überprüft werden kann.

Folgend ist der (fachliche) Inhalt des Abruftokens dargestellt.

Tab. 4: Inhalt des Abruftokens der Vermittlungsstelle

Name Bedeutung Herkunft
Data Consumer Komponenten-ID des Data Consumer IAM-Zugriffstoken des Data Consumers
Data Provider Komponenten-ID des Data Providers Angabe des Data Consumers (Teil des XNachweis-Requests)
Kommunikationszweck Der angefragte Nachweistyp ggf. in Verbindung mit der zugrundeliegenden Rechtsnorm Angabe des Data Consumers (Teil des XNachweis-Requests)
Verwendung der IDNr Information, ob der Nachweisabruf mittels der IDNr erfolgt (boolean: ja/nein) Angabe des Data Consumers (Teil des XNachweis-Requests)
Hash-Wert des XNachweis-Requests Der Hash-Wert, der aus dem XNachweis-Request berechnet wurde. Damit erfolgt ein Binding des Abruftokens an einen konkreten Nachweisabruf, wodurch eine Wiederverwendung des Tokens ausgeschlossen wird. Ermittlung auf Basis des XNachweis-Requests durch den Sicheren Anschlussknoten
Request-ID Die ID des XNachweis-Requests Angabe des Data Consumers (Teil des XNachweis-Requests)

7.7.2.3 Schnittstellen zu anderen IT-Systemen

Tab. 5: Schnittstelle für die Berechtigungsprüfung

Anbietendes System Vermittlungsstelle
Nutzendes System Sicherer Anschlussknoten des Data Consumers
Anwendungsfall UC-VS-1 Berechtigung prüfen
Kurzbeschreibung Ein Sicherer Anschlussknoten eines Data Consumers fragt eine Abrufberechtigung für einen Kommunikationsvorgang (charakterisiert durch Kommunikationspartner, Kommunikationszweck, Verwendung der IDNr) an. Die Vermittlungsstelle prüft, ob für diesen Kommunikationsvorgang eine abstrakte Berechtigung notwendig ist und vorliegt und stellt ggf. ein Abruftoken aus, das den Nachweisabruf autorisiert.
Input-Parameter
  • IAM-Zugriffstoken des Data Consumer, enthält:
    • Komponenten-ID des Data Consumer
  • Komponenten-ID des Data Providers
  • Kommunikationszweck (angefragter Nachweistyp, ggf. Rechtsgrundlage für den Abruf)
  • Verwendung der IDNr für den Abruf (ja/nein)
  • Hash-Wert des XNachweis-Requests
  • Request-ID
Output-Parameter
  • VS-Abruftoken, enthält:
    • Komponenten-ID des Data Consumers
    • Komponenten-ID des Data Providers
    • Kommunikationszweck (angefragter Nachweistyp, ggf. Rechtsgrundlage für den Abruf)
    • Verwendung der IDNr für den Abruf (ja/nein)
    • Hash-Wert des XNachweis-Requests
    • Request-ID

Tab. 6: Schnittstelle für die Aktualisierung der Berechtigungsdaten

Anbietendes System Verzeichnisdienst
Nutzendes System Vermittlungsstelle
Anwendungsfall UC-VS-2 Abstrakte Berechtigungen aktualisieren
Kurzbeschreibung Der Verzeichnisdienst stellt Informationen bereit, mittels der er die Vermittlungsstelle ihren Datenbestand der abstrakten Berechtigungen aktualisieren kann.
Input-Parameter

keine
Output-Parameter
  • Aktualisierungsinformationen zum Datenbestand der abstrakten Berechtigungen

7.8 Laufzeitsicht

7.8.1 Prozesse

Folgend ist die Einbindung der Vermittlungsstelle in den Nachweisabrufprozess dargestellt. Es handelt sich um eine (auf die aus Sicht der Vermittlungsstelle wesentlichen Aspekte) beschränkende Betrachtung.

Abb. 7: Prozesssicht der Berechtigungsprüfung im Kontext des Nachweisabrufprozesses

Folgend ist die Durchführung der abstrakten Berechtigungsprüfung im Kontext eines nationalen Nachweisabrufs durch einen Data Consumer bei einem Data Provider beschrieben (Darstellung aus Perspektive der Vermittlungsstelle, d.h. Aspekte, die dafür nicht relevant sind, sind aus Gründen der Übersichtlichkeit weggelassen und können in der High-Level-Architecture sowie den Konzepten der jeweiligen Komponenten nachgeschlagen werden).

Tab. 7: Nationaler Nachweisabrufpross aus Perspektive der Vermittlungsstelle

  Beschreibung Bemerkung
1 Über einen Data Consumer wird ein Nachweisabruf initiiert.  
2 Der Data Consumer meldet sich beim IAM für Behörden am NOOTS an und erhält vom IAM für Behörden ein Zugriffstoken.
  • Das Zugriffstoken wird für jegliche weitere Kommunikation im NOOTS benötigt. Es enthält u.a. die Angabe zur Komponenten-ID des DataConsumers.
  • Die Kommunikation des Data Consumers mitzentralen Komponentenund dem Data Provider erfolgt über seinen Sicheren Anschlussknoten.
3 Der Data Consumer ermittelt über die Registerdatennavigation (RDN) den zuständigen Data Provider für den gewünschten Nachweis.
  • Der zuständige Data Provider ist durch dessen Komponenten-ID charakterisiert.
4 Der Data Consumer erstellt einen XNachweis-Request und übergibt ihn für den Abruf des Nachweises an seinen Sicheren Anschlussknoten.
  • Der XNachweis-Request enthält die Komponenten-ID des zuständigen Data Providers.
  • Der Data Consumer übergibt sein Zugriffstoken zusammen mit dem XNachweis-Request.
  • Auf die Beschreibung der Ermittlung der Identifikationsnummer des Nachweissubjekts wird hier verzichtet.
5

Der Sichere Anschlussknoten des Data Consumers ermittelt aus dem Request die notwendigen Angaben, die die Vermittlungsstelle für die abstrakte Berechtigungsprüfung benötigt:

  • Komponenten-ID des Data Providers
  • Kommunikationszweck (angefragter Nachweistyp, ggf. Rechtsgrundlage für den Abruf)
  • Verwendung der IDNr für den Abruf (ja/nein)
  • Hash-Wert des XNachweis-Requests ohne Abruftoken (diesen erzeugt der Sichere Anschlussknoten selbst)
  • Request-ID
  • Über den Hash-Wert erfolgt ein Binding des Abruftokens der Vermittlungsstelle an den XNachweis-Request und eine Wiederverwendung des Abruftokens wird ausgeschlossen. Da somit jeder Nachweisbaruf über die Vermittlungsstelle angefragt werden muss, ist auch sichergestellt, dass die Vermittlungsstelle jeden Abruf protokolliert.
6 Der Sichere Anschlussknoten des Data Consumers fragt bei der Vermittlungsstelle die Abrufberechtigung für den Nachweisabruf an und übergibt dazu die im vorhergehenden Schritt ermittelten Daten gemeinsam mit dem Zugriffstoken.  
7

Die Vermittlungsstelle prüft, ob für die vorliegende Anfrage eine abstrakte Berechtigungsprüfung notwendig ist.
  • Eine abstrakte Berechtigungungsprüfung ist dann notwendig, wenn die Kommunikation unter Verwendung der IDNr und entweder bereichsübergreifend stattfindet (§ 7 Abs. 2 IDNrG) oder wenn eine Prüfung auch bereichsintern vorgesehen ist (§ 12 Abs. 4 IDNrG).
8 Falls notwendig prüft die Vermittlungsstelle die abstrakte Berechtigung für den Nachweisabruf. Dazu ermittelt sie, ob für die beiden Kommunikationspartner ein gemeinsamer Kommunikationszweck vorliegt, der mit dem angegebenen Zweck übereinstimmt.
  • Die dafür notwendigen Informationen (die abstrakten Berechtigungen) erhält die Vermittlungsstelle regelmäßig aus dem Verzeichnisdienst.
9

Die Vermittlungsstelle protokolliert die Berechtigungsprüfung. Mögliche Prüfergebnisse sind:

  • Abstrakte Berechtigung liegt vor
  • Abstrakte Berechtigung liegt nicht vor
  • Abstrakte Berechtigung nicht notwendig
  • Falls die Vermittlungsstelle feststellt, dass die abstrakte Berechtigung nicht vorliegt, meldet sie dies dem aufrufenden Sicheren Anschlussknoten über eine Fehlermeldung. Insbesondere stellt sie kein Abruftoken aus.
  • Neben dem Prüfergebnis protokolliert die Vermittlungsstelle auch die Prüfungsgrundlage sowie Metadaten der Prüfung (insbes. Zeitstempel).
10

Die Vermittlungsstelle stellt ein Abruftoken aus und siegelt dieses. In dem Abruftoken speichert sie die Prüfungsgrundlage:

  • Komponenten-ID des Data Consumers
  • Komponenten-ID des Data Providers
  • Kommunikationszweck (angefragter Nachweistyp, ggf. Rechtsgrundlage für den Abruf)
  • Verwendung der IDNr für den Abruf (ja/nein)
  • Hash-Wert des XNachweis-Requests
  • Request-ID
  • Die Vermittlungsstelle stellt das Abruftoken aus, falls die abstrakte Berechtigung vorliegt oder falls die abstrakte Berechtigung nicht notwendig ist.
  • Das Abruftoken stellt die Abrufberechtigung für diesen Nachweisabruf dar. Es beweist, dass die Vermittlungsstelle
    • entweder die abstrakte Berechtigungsprüfung mit positivem Ergebnis durchgeführt hat,
    • oder festgestellt hat, dass eine abstrakte Berechtigungsprüfung nicht notwendig ist.
11

Die Vermittlungsstelle übermittelt das Abruftoken an den Sicheren Anschlussknoten des Data Consumers.
  • Falls die Vermittlungsstelle kein Abruftoken zurückliefert und somit keine Abrufberechtigung erteilt, bricht der Sichere Anschlussknoten des Data Consumers den Nachweisabruf ab.
12

Der Sichere Anschlussknoten des Data Consumers führt den Nachweisabruf durch. Dazu speichert er das Abruftoken im XNachweis-Request und übermittelt den XNachweis-Request (inkl. dem Abruftoken) sowie das Zugriffstoken (des IAM für Behörden) an den Sicheren Anschlussknoten des zuständigen Data Providers.
  • Auf die Beschreibung der Ermittlung der Verbindungsparameter des Data Providers wird hier verzichtet.
13

Der Sichere Anschlussknoten des Data Providers entnimmt das Abruftoken der Vermittlungsstelle aus dem XNachweis-Request und prüft die Echtheit des Abruftokens anhand der Siegelung mittels des Public-Key-Zertifikats der Vermittlungsstelle.
  • Falls die Echtheit des Abruftokens nicht festgestellt werden kann, bricht der Sichere Anschlussknoten den Nachweisabruf ab und gibt eine XNachweis-ErrorResponse zurück.
14

Der Sichere Anschlussknoten des Data Providers prüft, ob die Angaben im Abruftoken zum XNachweis-Request passen. Dazu ermittelt er die folgenden Daten direkt aus dem XNachweis-Request (bzw. aus dem Zugriffstoken des Data Consumers) und gleicht sie mit denen im Abruftoken ab:

  • Komponenten-ID des Data Consumers (aus dem Zugriffstoken)
  • Komponenten-ID des Data Providers
  • Kommunikationszweck (angefragter Nachweistyp, ggf. Rechtsgrundlage für den Abruf)
  • Verwendung der IDNr für den Abruf (ja/nein)
  • Erzeugung des Hash-Wert des XNachweis-Requests
  • Request-ID
  • Falls die Validierung des Abruftokens fehlschlägt, d.h. falls der Sichere Anschlussknoten Abweichungen zwischen Request und Abruftoken feststellt, bricht er den Nachweisabruf ab und gibt eine XNachweis-ErrorResponse zurück.
15

DerSichere Anschlussknoten des Data Providers übergibt den XNachweis-Request an den Data Provider.

  
16

Der Data Provider verarbeitet den XNachweis-Request, erstellt eine XNachweis-Response mit dem angeforderten Nachweis und übergibt sie an seinen Sicheren Anschlussknoten.
  • Weitere Schritte des Data Providers sind hier nicht beschrieben (bspw. Protokollierung für das Datenschutzcockpit, konkrete Berechtigungsprüfung).
17

Der Sichere Anschlussknoten des Data Provider versendet die XNachweis-Response an den Sicheren Anschlussknoten des Data Consumers. Dieser leitet ihn an den Data Consumer weiter.
  • Eine erneute Einbindung der Vermittlungsstelle sowie eine Prüfung der Response durch den Sicheren Anschlussknoten des Data Consumers ist nicht notwendig (vgl. Kap. Architekturentscheidungen).
18

Der Data Consumer verarbeitet die Response.
  • Der Nachweisabruf ist abgeschlossen, der Nachweis liegt dem Data Consumer vor und kann bspw. in der Preview geprüft und freigegeben werden.

7.8.2 Anwendungsfälle

7.8.2.1 Anwendungsfall 1: Berechtigung prüfen

Tab. 8: Beschreibung des Anwendungsfalls "Berechtigung prüfen"

Anwendungsfall ID UC-VS-1

Kurzbeschreibung

Prüfung auf Notwendigkeit einer abstrakten Berechtigungsprüfung, bei Bedarf Durchführung der abstrakten Berechtigungsprüfung, Protokollierung der Prüfung und ggf. Ausstellung eines Abruftokens.

Vorbedingung / auslösendes Ereignis

Der Sichere Anschlussknoten eines Data Consumers ruft die Schnittstelle für die Berechtigungsprüfung der Vermittlungsstelle auf, da der Data Consumer einen Nachweisabruf durchführen möchte und dafür ein Abruftoken der Vermittlungsstelle benötigt.

Nachbedingung / Ergebnis

Die Notwendigkeit einer abstrakten Berechtigungsprüfung zum Nachweisabruf ist festgestellt, bei Bedarf ist die abstrakte Berechtigung geprüft, ggf. ist der Nachweisabruf durch ein Token autorisiert und die Prüfung ist protokolliert.

Standardablauf
  1. Die Vermittlungsstelle erhält eine Berechtigungsanfrage von einem Sicheren Anschlussknoten eines Data Consumers, d.h. für ein Abruftoken als Berechtigung für einen Nachweisabruf.
    1. Sie erhält dazu die Angaben zu Kommunikationspartnern (Komponenten-ID jeweils von Data Consumer und Data Provider), Kommunikationszweck (Nachweistyp, ggf. Rechtsgrundlage), Verwendung der IDNr (ja/nein-Angabe) und Hash-Wert des XNachweis-Requests.
  2. Die Vermittlungsstelle ermittelt die den Kommunikationspartnern zugehörigen Verwaltungsbereiche und zulässige Kommunikationszwecke zwischen den Kommunikationspartnern.
  3. Die Vermittlungsstelle prüft, ob eine abstrakte Berechtigungsprüfung notwendig ist.
    1. Dazu prüft sie, ob für den Nachweisabruf eine IDNr verwendet wird.
    2. Weiterhin prüft sie, ob die Kommunikationspartner unterschiedlichen Verwaltungsbereichen zugeordnet sind oder, falls sie dem gleichen Verwaltungsbereich zugeordnet sind, ob eine verwaltungsbereichsinterne abstrakte Berechtigungsprüfung vorgesehen ist.
    3. Sind die beiden Bedingungen 1 und 2 erfüllt, so stellt die Vermittlungsstelle fest, dass eine abstrakte Berechtigungsprüfung notwendig ist.

  4. Die Vermittlungsstelle prüft, ob die beiden Kommunikationspartner zum angegebenen Zweck kommunizieren dürfen ("abstrakte Berechtigungsprüfung").

    1. Dazu prüft sie, ob zu den beiden Kommunikationspartnern ein gemeinsamer Kommunikationszweck existiert, der mit dem angegebenen Kommunikationszweck übereinstimmt.

  5. Die Vermittlungsstelle stellt ein Abruftoken aus.

    1. In dem Abruftoken speichert sie die Datengrundlage der Berechtigungsprüfung, d.h. beide Kommunikationspartner, Kommunikationszweck, Verwendung der IDNr und Hash-Wert des Requests.

  6. Die Vermittlungsstelle siegelt das Token.

  7. Die Vermittlungsstelle stellt das Token dem Sicheren Anschlussknoten desData Consumers bereit.

  8. Die Vermittlungsstelle protokolliert die Berechtigungsanfrage, d.h. Datengrundlage (inkl. Hash-Wert des Requests und Request-ID), Prüfungsergebnis ("Abstrakte Berechtigung liegt vor", "Abstrakte Berechtigung liegt nicht vor" oder "Abstrakte Berechtigung nicht notwendig") und die Metadaten der Anfrage (Zeitstempel).

Alternativer Ablauf 1

In Schritt 3 des Standardablaufs ergibt die Prüfung auf Notwendigkeit einer abstrakten Berechtigungsprüfung, dass diese nicht notwendig ist.

Weiter mit Schritt 5 des Standardablaufs.

Alternativer Ablauf 2

In Schritt 4 des Standardablaufs ergibt die Prüfung, ob die Kommunikationspartner zum angegebenen Zweck kommunizieren dürfen (abstrakte Berechtigungsprüfung), dass kein Berechtigungseintrag vorliegt, der diese Kommunikation zulässt.

  1. Die Vermittlungsstelle stellt fest, dass eine abstrakte Berechtigung nicht vorliegt, sie gibt eine Fehlermeldung an den Sicheren Anschlussknoten des Data Consumers zurück, insbes. stellt sie kein Abruftoken aus.

Weiter mit Schritt 8 des Standardablaufs.

7.8.2.2 Anwendungsfall 2: Protokolldaten bereitstellen

Tab. 9: Beschreibung des Anwendungsfalls "Protokolldaten bereitstellen"

Anwendungsfall ID

UC-VS-2

Kurzbeschreibung

Die Vermittlungsstelle stellt dem Administrator Protokolldaten zur Durchführung der Berechtigungsprüfung oder Änderung an den Berechtigungen entsprechend seinen Kriterien bereit.

Vorbedingung / auslösendes Ereignis

Der Administrator der Vermittlungsstelle startet den Abruf von Protokolldaten.

Nachbedingung / Ergebnis

Dem Administrator sind die angeforderten Daten bereitgestellt.

Standardablauf
  1. Der Administrator der Vermittlungsstelle startet den Abruf von Protokolldaten.
  2. Der Administrator wählt aus, ob er die Protokolldaten zur Durchführung der Berechtigungsprüfung oder zu Änderungen an den Berechtigungen abrufen möchte.
  3. Der Administrator gibt dazu ggf. Kriterien ein, um den Umfang der abzurufenden Daten einzuschränken (z.B. Zeitraum, Prüfungsergebnis, Data Consumer, Data Provider, Kommunikationszweck).
  4. Die Vermittlungsstelle ermittelt die Protokolldaten entsprechend den Kriterien.
  5. Die Vermittlungsstelle stellt dem Administrator die Protokolldaten bereit.

7.8.2.3 Anwendungsfall 3: Abstrakte Berechtigungen aktualisieren

Tab. 10: Beschreibung des Anwendungsfalls "Abstrakte Berechtigungen aktualisieren"

Anwendungsfall ID UC-VS-3
Kurzbeschreibung Die Vermittlungsstelle ruft vom Verzeichnisdienst die Aktualisierungsinformationen zu den abstrakten Berechtigungen ab und aktualisiert ihren Datenbestand.
Vorbedingung / auslösendes Ereignis periodisch
Nachbedingung / Ergebnis Der Datenbestand der Vermittlungsstelle zu den abstrakten Berechtigungen ist aktualisiert, die Änderungen sind protokolliert.
Standardablauf
  1. Die Vermittlungsstelle ruft die vom Verzeichnisdienstangebotene Schnittstelle für die Aktualisierung der Berechtigungsdaten auf.
  2. Die Vermittlungsstelle erhält vom Verzeichnisdienst die Aktualisierungsinformationen zu den abstrakten Berechtigungen.
  3. Die Vermittlungsstelle aktualisiert den Datenbestand der abstrakten Berechtigungen mittels der erhaltenen Aktualisierungsinformationen.
  4. Die Vermittlungsstelle protokolliert die durchgeführten Änderungen.

7.9 Ausblick und Weiterführende Aspekte

7.9.1 Offene Punkte

Die konzeptionelle Ausgestaltung der Vermittlungsstelle ist fortgeschritten, jedoch in Details andauernd. Dabei werden die im Folgenden beschriebenen offenen Punkte adressiert werden.

Tab. 11: Offene Punkte

Offener Punkt Bezeichnung Beschreibung

OP-VS-561

Verzeichnisdienst bzw. Verzeichnis für Informationen zur abstrakten Berechtigungsprüfung

 Für den Bezug der Daten zu den abstrakten Berechtigungenerscheint das Fachdatenkonzept (bzw. RegMo-Repository/ Nachweiskatalog) als geeignet. Abstimmungen dazu mit PB Register sind andauernd. Aktuell ist davon auszugehen, dass die abstrakten Berechtigungen dort gepflegt werden und von der Vermittlungsstelle genutzt werden können. Offen ist die Einbindung des IAM für Behörden, da insbes. die Daten zu Data Consumern und Data Provider (v.a. die Komponenten-ID, ggf. die Verwaltungsbereichszuordnung) mit den dortigen Daten übereinstimmen müssen, damit eine Verwendung für die abstrakte Berechtigungsprüfung möglich ist.
OP-VS-588 Gesetzeskonformität des Token-Ansatzes

Aufgrund der Formulierungen des IDNrG, insbes. von § 7 Abs. 2 S. 1 und S. 4 IDNrG, ist noch offen, ob dieser Architekturentwurf mit dem Gesetzestext vereinbar ist. Erste juristische und datenschutzrechtliche Einschätzungen haben zu einem positiven Ergebnis geführt. Die Konzeption erfolgt vorbehaltlich einer abschließenden Bewertung.

7.10 Änderungsdokumentation

  Release-Versionen Kapitel Beschreibung der Änderung Art der Änderung Priorisierung/ major changes Quelle der Änderung
1 Q1/2024 Fachliches Konzept
  • Beschreibung des Ansatzes der Einbindung der Vermittlungsstelle über Sichere Anschlussknoten
  • Anpassung der Anwendungsfälle zur Vermittlungsstelle
  • Überarbeitung des Datenmodells
  • Grundlegende Überarbeitung des Prozessüberblicks
  • Aktualisierung der Beschreibung der beteiligten Systeme
  • Grundlegende Überarbeitung von Anwendungsfall 1
 Neuer Inhalt, Aktualisierung Komponententeam, NOOTS Board, Abstimmung mit PB Recht sowie mit Datenschutzbeauftragten, Zusammenarbeit mit Komponententeam Transportinfrastruktur
2 Q1/2024 Überblick
  • Aktualisierung der Zielsetzung der Vermittlungsstelle, Ergänzungen zur Mitwirkungsnotwendigkeit von Data Consumer oder Data Provider, Ausarbeitung zur Integration in die Transportinfrastruktur
 neuer Inhalt, Aktualisierung Komponententeam, Abstimmung mit PB Recht sowie mit Datenschutzbeauftragten
3 Q1/2024 Kontext
  • Beschreibung der technischen Problemstellung, die sich aus den rechtlichen und Datenschutzvorgaben ergeben
 neuer Inhalt Komponententeam
4 Q1/2024 Anforderungen und Rahmenbedingungen
  • Aktualisierung an den aktuellen Konzeptionsstand
 Aktualisierung, Korrektur   Komponententeam
5 Q1/2024 Architekturentscheidungen
  • Dokumentation der Architekturentscheidungen aus dem NOOTS Board zur Vermittlungsstelle
 neuer Inhalt NOOTS Board
6 Q1/2024 Geprüfte Lösungsentwürfe und Hintergrund zur Architektur
  • Beschreibung geprüfter und verworfener Lösungsansätze
  • Beschreibung der Motivation für den gewählten Lösungsansatz
 Aktualisierung, neuer Inhalt   Komponententeam, NOOTS Board, Abstimmung mit PB Recht sowie mit Datenschutzbeauftragten
7 Q1/2024 Offene Punkte
  • Aktualisierung zum Bearbeitungsstatus
 Aktualisierung   Komponententeam
8 Q2/2024 Gesamtes Dokument
  • Überarbeitung der Dokumentenstruktur
 Aktualisierung   Komponententeam
9 Q2/2024 Laufzeitsicht
  • Grundlegende Überarbeitung und Ergänzung zur übergreifenden Einbindung der Vermittlungsstelle in den Nachweisabrufprozess
  • Überarbeitung "Berechtigung prüfen"
  • Erstellung "Protokolldaten bereitstellen" und "Abstrakte Berechtigungen aktualisieren"
 Aktualisierung, neuer Inhalt Komponententeam, NOOTS-Board
10 Q2/2024 Bausteinsicht
  • Erweiterung des Datenmodells
  • Beschreibung des Aufbaus des Abruftokens und der Schnittstellen
 Aktualisierung, neuer Inhalt   Komponententeam
11 Q2/2024 Fachlicher Kontext
  • Aktualisierung der Beschreibung des fachlichen Kontext der Vermittlungsstelle
  • Erstellung Diagramm zur Visualisierung
 Aktualisierung, neuer Inhalt   Komponententeam
12 Q2/2024 Randbedingungen
  • Beschreibung zum 4-Corner-Modell
  • Beschreibung der Protokollierung
  • Abgrenzung zum IAM für Behörden
  • Beschreibung des Verzeichnisdienstes und Zusammenhang Fachdatenkonzept
 Neuer Inhalt Komponententeam, NOOTS-Board, PB Recht und Datenschutzbeauftragte, PB Register
13 Q2/2024 Anforderungen
  • Überarbeitung der Anforderungen gem. den neuen Erkenntnissen
 Aktualisierung, neuer Inhalt   Komponententeam
14 Q2/2024 Begriffsdefinitionen
  • Aufnahme von Erklärungen zu relevanten Begriffen im Kontext der Vermittlungsstelle
 Neuer Inhalt   Komponententeam